Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

27 атак раскрыли слабости менеджеров паролей

2
1 мин
Изображение: recraft Учёные из ETH Zurich и Università della Svizzera italiana опубликовали подробный анализ архитектуры безопасности облачных менеджеров паролей. В работе описаны уязвимости, которые в ряде сценариев позволяют злоумышленникам просматривать и изменять данные в хранилищах пользователей, а также восстанавливать сохранённые пароли. Исследователи разработали 27 успешных сценариев атак против сервисов Bitwarden, LastPass, Dashlane и 1Password. Масштаб последствий варьировался от нарушения целостности отдельных записей до полной компрометации всех хранилищ в рамках организации. Во многих случаях атакующие могли не только вмешиваться в данные, но и фактически восстанавливать пароли. Отдельное внимание в работе уделено заявлениям поставщиков о применении «шифрования с нулевым разглашением». Этот термин подразумевает, что сервер, на котором размещены пользовательские хранилища, не способен узнать содержимое данных даже в случае компрометации. Разработанные сценарии атак поставил

Изображение: recraft

Учёные из ETH Zurich и Università della Svizzera italiana опубликовали подробный анализ архитектуры безопасности облачных менеджеров паролей. В работе описаны уязвимости, которые в ряде сценариев позволяют злоумышленникам просматривать и изменять данные в хранилищах пользователей, а также восстанавливать сохранённые пароли.

Исследователи разработали 27 успешных сценариев атак против сервисов Bitwarden, LastPass, Dashlane и 1Password. Масштаб последствий варьировался от нарушения целостности отдельных записей до полной компрометации всех хранилищ в рамках организации.

Во многих случаях атакующие могли не только вмешиваться в данные, но и фактически восстанавливать пароли.

Отдельное внимание в работе уделено заявлениям поставщиков о применении «шифрования с нулевым разглашением». Этот термин подразумевает, что сервер, на котором размещены пользовательские хранилища, не способен узнать содержимое данных даже в случае компрометации. Разработанные сценарии атак поставили под сомнение абсолютность подобных утверждений.

Результаты исследования опубликованы в рецензируемой научной статье 16 февраля. Материалы также станут основой доклада на симпозиуме USENIX Security Symposium, который пройдёт в Балтиморе в августе 2026 года.

Анализ 27 сценариев позволил выявить повторяющиеся проблемы проектирования и криптографические просчёты. Среди них неаутентифицированные открытые ключи, отсутствие проверки целостности зашифрованных данных, слабое разделение ключевого материала и отсутствие криптографической связи между данными и метаданными.

Эти факторы создавали условия, при которых атакующий мог модифицировать информацию или снижать устойчивость схемы защиты.

Оригинал публикации на сайте CISOCLUB: "ETH Zurich: исследование выявило критические уязвимости в популярных облачных менеджерах паролей".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.

Кибербезопасность
25,6 тыс интересуются